剣 KENSAI
← All posts · security · 2026-04-03

Explotación masiva de Next.js React2Shell compromete 766 hosts, Drift Protocol pierde $280M en hack Solana Multisig, Cisco parchea dos fallos críticos CVSS 9.8, Cadena RCE pre-autenticación ShareFile expone 30.000 instancias


🔴 Next.js React2Shell explotado a gran escala — 766 hosts comprometidos por la campaña NEXUS Listener

⚠️ CRÍTICO — Parchee Next.js inmediatamente (CVE-2025-55182, CVSS 10.0)

Una operación automatizada de recolección de credenciales a gran escala está explotando activamente la vulnerabilidad React2Shell en despliegues de Next.js App Router. Al menos 766 hosts en múltiples proveedores cloud han sido comprometidos. Rote todos los secretos en cualquier host afectado.

Cisco Talos ha publicado un informe detallado sobre UAT-10608, un clúster de amenazas que ejecuta una operación industrial de recolección de credenciales explotando CVE-2025-55182 — la falla crítica de React Server Components / Next.js App Router conocida como React2Shell, que permite la ejecución remota de código.

El ataque está altamente automatizado: el actor de amenazas escanea despliegues Next.js accesibles públicamente, los prueba contra la vulnerabilidad y despliega el framework de recolección NEXUS Listener — un toolkit de harvesting multifase ahora en su tercera versión principal.

Qué se roba

  • Variables de entorno del SO y runtime JS
  • Claves privadas SSH y archivos authorized_keys
  • Historial de comandos shell (.bash_history, .zsh_history)
  • Tokens de cuenta de servicio Kubernetes
  • Configuraciones de contenedores Docker (imágenes, puertos, redes, montajes, variables de entorno)
  • Credenciales Cloud IAM vía Instance Metadata Service para AWS, GCP y Azure
  • Claves API — Stripe, OpenAI, Anthropic, NVIDIA NIM, SendGrid, Brevo, GitHub, GitLab
  • Cadenas de conexión a base de datos y tokens de bots Telegram

Panel de control C2 NEXUS Listener

Los datos exfiltrados alimentan una GUI web protegida por contraseña llamada NEXUS Listener V3, que ofrece al atacante acceso consultable a todos los hosts comprometidos, credenciales robadas y análisis. Talos obtuvo datos de una instancia NEXUS Listener no autenticada, confirmando la amplitud del material robado.

El patrón de targeting indiscriminado sugiere que UAT-10608 usa escáneres automatizados (Shodan, Censys o personalizados) para identificar despliegues Next.js vulnerables a escala de Internet. Las organizaciones con Next.js App Router deben parchear inmediatamente y rotar todos los secretos — claves AWS, credenciales de base de datos, claves SSH y tokens API — en cualquier host potencialmente expuesto.


💰 Drift Protocol pierde 280 millones de dólares en un sofisticado hack Solana Multisig

⚠️ CRÍTICO — Todas las funciones de Drift Protocol congeladas

Más de $280M drenados de Drift Protocol después de que un atacante tomó el control de los poderes multisig del Security Council mediante transacciones durable nonce pre-firmadas. Los depósitos, vaults y fondos de trading están afectados. No deposite fondos.

El Drift Protocol, una plataforma de trading DeFi líder en la blockchain Solana con 200.000 traders y 55 mil millones de dólares en volumen total, perdió al menos 280 millones de dólares en un robo meticulosamente planificado que no explotó ninguna vulnerabilidad de smart contract.

FechaAcción
23–30 de marzoEl atacante configura cuentas durable nonce, obtiene 2/5 aprobaciones multisig de miembros del Security Council
1 de abril (ejecución)Transacción legítima ejecutada, inmediatamente seguida por transacciones maliciosas pre-firmadas
Minutos despuésControl admin transferido al atacante, activo malicioso introducido, límites de retiro eliminados
1 de abril (drenaje)Más de $280M drenados de las reservas del protocolo

Qué hace diferente a este ataque

El atacante aprovechó las Durable Nonce Accounts — una función de Solana que mantiene las transacciones pre-firmadas válidas indefinidamente — para preparar el robo con días de antelación. Al obtener el mínimo de 2 de 5 aprobaciones del Security Council y pre-firmar transacciones maliciosas, el atacante pudo ejecutar el drenaje con precisión quirúrgica en el momento elegido.

Esto no fue un bug de smart contract ni un ataque flash loan — fue una compromisión a nivel de gobernanza que explotó el modelo de confianza de la administración multisig. Drift trabaja con firmas de seguridad, exchanges y autoridades para rastrear y congelar los fondos robados. DSOL no se ve afectado y los activos del fondo de seguro están asegurados.


🛡️ Cisco parchea dos vulnerabilidades críticas CVSS 9.8 en IMC y SSM

⚠️ CRÍTICO — Parchee IMC (CVE-2026-20093) y SSM (CVE-2026-20160) inmediatamente

Ambas vulnerabilidades permiten a atacantes remotos no autenticados obtener acceso admin/root. No hay soluciones alternativas — el parcheo es la única mitigación.

CVE-2026-20093 — Bypass de autenticación IMC (CVSS 9.8)

Una falla en el Cisco Integrated Management Controller permite a atacantes remotos no autenticados eludir la autenticación enviando solicitudes HTTP manipuladas. La explotación exitosa permite a los atacantes alterar contraseñas de cualquier usuario, incluyendo Admins, y obtener acceso total al sistema.

Affected ProductFixed Version
5000 Series ENCS4.15.5
Catalyst 8300 Edge uCPE4.18.3
UCS C-Series M5/M6 Rack Servers4.3(2.260007), 4.3(6.260017), 6.0(1.250174)
UCS E-Series M33.2.17
UCS E-Series M64.15.3

CVE-2026-20160 — Inyección de comandos SSM On-Prem (CVSS 9.8)

Una exposición involuntaria de un servicio interno en Cisco Smart Software Manager On-Prem permite a atacantes no autenticados ejecutar comandos arbitrarios con privilegios root vía solicitudes API manipuladas. Corregido en SSM On-Prem versión 9-202601.

Aunque ninguna de las vulnerabilidades ha sido explotada en la naturaleza aún, las fallas de Cisco recientemente divulgadas han sido rápidamente armadas por actores de amenazas. Sin soluciones alternativas disponibles, el parcheo inmediato es la única defensa.


📁 Cadena RCE pre-auth Progress ShareFile — 30.000 instancias expuestas

🟠 ALTO — Actualice ShareFile Storage Zones Controller a 5.12.4

Dos vulnerabilidades encadenadas permiten ejecución remota de código sin autenticación en Progress ShareFile Storage Zones Controller. Aproximadamente 30.000 instancias están expuestas en Internet.

La firma de seguridad ofensiva watchTowr ha divulgado una cadena devastadora de dos bugs en Progress ShareFile Storage Zones Controller (SZC) — el componente on-premises que da a las empresas control sobre su almacenamiento de archivos:

  • CVE-2026-2699 — Bypass de autenticación vía manejo incorrecto de redirecciones HTTP que otorga acceso a la interfaz admin de ShareFile
  • CVE-2026-2701 — Ejecución remota de código mediante funcionalidad de carga y extracción de archivos, permitiendo la colocación de webshells ASPX maliciosos

Por qué esto importa

Las soluciones de transferencia de archivos son objetivos principales para grupos de ransomware — la banda Clop ha atacado previamente Accellion FTA, SolarWinds Serv-U, GoAnywhere MFT, MOVEit Transfer, Gladinet CentreStack y Cleo. Con ~30.000 instancias SZC expuestas en Internet (700 confirmadas por ShadowServer), esta cadena de vulnerabilidades sigue el mismo patrón de alto valor.

Los parches están disponibles desde el 10 de marzo en ShareFile 5.12.4. Las organizaciones que ejecutan ShareFile con zonas de almacenamiento on-premises deben tratar esto como una prioridad de emergencia.


🍎 Apple amplía iOS 18.7.7 contra el kit de explotación DarkSword

Apple ha ampliado la disponibilidad de iOS 18.7.7 e iPadOS 18.7.7 a una gama más amplia de dispositivos para proteger contra el kit de explotación DarkSword — un toolkit de ataque iOS activo desde julio de 2025, dirigido a usuarios en Arabia Saudita, Turquía, Malasia y Ucrania.

La actualización ampliada ahora cubre todos los iPhones desde XR hasta iPhone 16e y una amplia gama de iPads. Este es un movimiento inusual para Apple — en lugar de requerir que los usuarios salten a iOS 26, la empresa está retroportando correcciones de seguridad críticas para permitir a los usuarios permanecer en iOS 18 mientras están protegidos.

Los usuarios con Actualizaciones Automáticas activadas recibirán el parche automáticamente. Quienes no hayan actualizado deben hacerlo inmediatamente.


📋 Noticias breves

  • Fuga de Claude Code explotada para malware: Actores de amenazas distribuyen el infostealer Vidar y la herramienta proxy GhostSocks a través de repositorios GitHub falsos que pretenden contener el código fuente filtrado de Claude Code.
  • Stryker totalmente operativo tras ataque wiper: El gigante medtech Stryker ha restaurado operaciones tres semanas después de que el grupo hacktivista iraní Handala borró casi 80.000 dispositivos.
  • Proxies residenciales evaden 78% de verificaciones IP: La investigación muestra que los proxies residenciales evaden exitosamente los sistemas de reputación IP en 78% de 4 mil millones de sesiones analizadas.
  • Informe Open Source de Confianza 2026: El informe de Chainguard destaca cómo el desarrollo acelerado por IA está transformando el panorama de seguridad.

🛡️ Acciones recomendadas

  1. Next.js: Parchee todos los despliegues Next.js App Router contra CVE-2025-55182 inmediatamente. Rote todos los secretos en cualquier host potencialmente expuesto.
  2. Gobernanza DeFi: Revise las configuraciones multisig — asegúrese de que los umbrales son suficientes e implemente bloqueos temporales en operaciones admin.
  3. Cisco: Aplique los parches para CVE-2026-20093 (IMC) y CVE-2026-20160 (SSM On-Prem) sin demora.
  4. ShareFile: Actualice ShareFile Storage Zones Controller a la versión 5.12.4.
  5. Apple: Asegúrese de que todos los dispositivos iOS/iPadOS estén actualizados a 18.7.7 o posterior.
  6. Estafa Claude Code: Advierta a los equipos de desarrollo sobre repositorios falsos de Claude Code en GitHub que distribuyen malware Vidar.

Manténgase por delante de las amenazas

Inteligencia de seguridad diaria sin ruido.

Explorar KENSAI →

KENSAI Security Briefing — 3 de abril de 2026
Compilado de Cisco Talos, BleepingComputer, The Hacker News, watchTowr Labs, Apple Security Updates y PeckShield.

All posts · Permalink